2025년에만 미국에서 AI 관련 주(州) 법안이 1,200개 넘게 발의됐어요. 전년 대비 두 배예요.
콜로라도는 2026년 6월 30일부터 고위험 AI 시스템 차별 방지법이 시행 중이고, 캘리포니아는 작년 9월부터 프론티어 모델 투명성법이 작동하고 있어요. 텍사스는 2027년 1월부터 책임 AI 거버넌스법을 예고했고요. 같은 AI 툴을 쓰더라도, 어느 주에서 쓰느냐에 따라 컴플라이언스 요건이 전혀 달라지는 시대입니다.
AI 규제 지도가 50개라는 게 무슨 뜻이냐면
2024년 대비 2025년 주(州) AI 법안 수가 두 배로 뛰었어요. 지금 미국에서 멀티스테이트로 사업하는 기업들은 사실상 50가지 버전의 AI 컴플라이언스를 동시에 관리해야 합니다. 구체적으로 어떻게 다른지 보면요.
| 주(State) | 시행일 | 핵심 규제 | 최대 벌금 |
|---|---|---|---|
| 콜로라도 (SB 24-205) | 2026.06.30 | 고위험 AI 차별 방지, 위험 평가 | 미정 (시정 명령) |
| 캘리포니아 (SB 53) | 2025.09.29 | 대형 모델 위험 공시, 내부고발 보호 | 위반당 최대 $100만 |
| 텍사스 (HB 149) | 2027.01.01 | 주거·고용·의료 AI 편향 평가 | 미정 |
콜로라도는 "결과" 기준(AI가 소비자에게 해로운 결과를 냈으면 책임)이고, 텍사스는 "의도" 기준(고의로 해악을 끼쳤을 때만 규제)이에요. 같은 AI 추천 시스템을 두 주에 동시 배포하면, 하나는 합법이고 하나는 위반일 수 있어요.
멀티스테이트 기업 입장에서 이건 "같은 AI를 쓰는데 법무 의견을 50번 받아야 할 수도 있다"는 말과 같아요.
연방 AI법이 3년의 숨통을 트려 한다
2026년 6월 4일, 민주·공화 양당 의원들이 미국 최초의 포괄적 연방 AI 거버넌스 법안인 Great American AI Act 초안을 공개했어요. 민주당 Lori Trahan(매사추세츠)과 공화당 Jay Obernolte(캘리포니아), Erin Houchin(인디애나)이 공동 발의했어요.
약 270페이지 초안에서 기업에게 가장 중요한 부분은 주 규제 선점(State Preemption) 조항이에요.
"50개 주가 각자 AI 규제를 만들면 혁신 역량이 떨어지고 중국 경쟁력이 높아진다."
— Rep. Erin Houchin (공화당, 인디애나)
법안이 통과되면 연방 정부가 AI 모델 개발 관련 주 규제를 3년간 선점해요. 그 사이 상무부 내 AI 표준 혁신 센터가 연 1억 달러 예산으로 자발적 가이드라인과 모범 사례를 만들어요.
| 지금 (50개 주 파편화) | 연방 선점 후 | |
|---|---|---|
| 컴플라이언스 기준 | 운영 주별 최대 50개 | 연방 단일 기준 1개 |
| 모델 개발 규제 | CA·CO 즉시 적용 중 | 3년간 주 규제 동결 |
| 법무 검토 부담 | 주별 별도 검토 필요 | 단일 기준으로 간소화 |
| 기준 변화 시기 | 지금 이미 진행 중 | 법안 통과 시 즉시 |
선점은 "개발" 규제에만 적용됩니다
주정부는 AI 모델의 개발 단계를 규제할 수 없지만, 배포 후 사용 단계는 계속 규제할 수 있어요. 문제는 법안에서 개발과 배포의 경계가 명확히 정의되지 않았다는 거예요. 같은 활동이 어느 해석이냐에 따라 선점 대상인지 아닌지 달라질 수 있어요.
법안 4개 타이틀 구조도 기억해두면 좋아요:
| 타이틀 | 핵심 내용 | 주요 대상 |
|---|---|---|
| I. 프론티어 AI 거버넌스 | 감사·공시·재앙적 위험 관리 | 대형 AI 기초모델 개발사 |
| II. 인력 (Workforce) | WARN Act 개정, 내부고발자 보호 | 100인 이상 모든 고용주 |
| III. 사이버보안 | 오픈소스 AI 보안, 모델 가중치 보호 | AI 개발사·정부 |
| IV. R&D·국제 협력 | AI 표준 국제화, 중국 영향력 차단 | 연방기관·NIST·NSF |
아무 기업도 피할 수 없는 새 의무 2가지
프론티어 AI 개발사가 아닌 "AI를 쓰는 일반 기업"도 두 가지는 반드시 챙겨야 해요.
① WARN Act 개정 — AI 대량해고 공시 의무
직원 100명 이상인 기업이 AI를 이유로 대량 해고할 때, 이걸 공개 신고해야 해요. 구체적으로 공시해야 하는 것들이에요:
- AI가 해고의 "실질적 요인(substantial factor)"이었는지 여부
- 어떤 AI를 어떻게 사용했는지
- AI로 인한 추정 직무 손실 비율
- 재교육·업스킬링에 어떤 조치를 취했는지
법 시행 후 300일 이내에 노동부가 세부 가이드라인을 발표해요. 지금 당장 벌금이 명시된 건 아니지만, AI를 HR 결정에 쓰는 기업은 WARN Act 절차를 업데이트해야 할 시점이 왔어요.
② 연방 내부고발자 보호 — AI 위반 신고자를 해고할 수 없다
직원이나 외부 계약직이 AI 관련 법 위반을 신고하면, 연방법으로 보호받아요. 해고, 강등, 위협, 블랙리스트 금지예요. 위반 시 복직 + 이중 임금 소급 + 소송비용 배상 등 강력한 구제책이 따라와요.
AI 사용 기업이 흔히 빠지는 함정
"우리는 AI 개발사가 아니니까 이 법 관계없다"는 생각이에요. Workforce 타이틀(Title II)은 개발사 여부와 상관없이 100명 이상 모든 고용주에게 적용돼요. AI로 업무 자동화나 인력 조정을 계획 중이라면, 지금부터 절차를 갖춰놔야 해요.
지금 팀에서 해야 할 5가지
법안은 아직 초안 단계예요. 하지만 주 규제는 이미 시행 중이고, 연방 방향도 정해지고 있어요. 지금 준비해두면 어떤 버전의 법이 와도 흔들리지 않아요.
- 우리 회사가 "프론티어 AI 개발사"인지부터 확인
대규모 컴퓨팅으로 기초 모델을 직접 훈련하는지가 기준이에요. API로 Claude나 GPT를 쓰는 기업은 Title I 해당 없어요. 개발사라면 감사·공시·위험관리 요건이 바로 적용돼요. - 100인 이상이면 WARN Act 절차 업데이트
AI를 채용 필터링, 성과 평가, 구조조정에 쓰고 있다면, 어떤 AI를 어떻게 썼는지 기록하는 내부 프로세스를 지금 만들어두세요. 나중에 소급 적용될 수 있어요. - AI 내부고발 채널 만들기
직원들이 AI 관련 우려를 안전하게 제기할 수 있는 채널이 있어야 해요. 없으면 위반 신고가 외부(정부, 미디어)로 먼저 흘러갈 수 있어요. - 운영 중인 주(州)별 현행 규제 파악
콜로라도·캘리포니아·텍사스 외에도 일리노이, 뉴욕시, 메릴랜드 등이 규제를 추진 중이에요. 지금 어떤 주에서 어떤 AI를 어떤 용도로 쓰는지 인벤토리를 만들어두세요. - NIST AI RMF 기반 거버넌스 체계 시작
연방 표준이 NIST AI 위험 관리 프레임워크(AI RMF)를 기반으로 만들어질 가능성이 높아요. 지금부터 이 프레임워크로 거버넌스 체계를 잡으면, 어떤 법이 오든 재작업 없이 대응할 수 있어요.
